1. Теперь за форумную активность начисляются биткоины и другие криптоденьги. Подробнее.
    Скрыть объявление
  2. Появилась архивная версия форума arhiv.xaker.name, где собраны темы с 2007 по 2012 год.
    Скрыть объявление

[?]запрос на sql inj из подсети Яндекса

Тема в разделе "Web-хакинг", создана пользователем lisa99, 6 янв 2015.

  1. lisa99
    lisa99 Новичок
    Симпатии:
    6
    Есть у меня один клиентский сайт -городской портал, старый, бывший дико дырявым (это важно).
    Я поставила скрипты мониторинга за целостостью файликов, ну и режик непристойных POST и GET запросов.
    Как-то вваливается в аську владелец сайта в панике- яндекс выкинул из индекса 4300 страниц, ошибка 403.
    Смотрю залоченные мной на автомате IP. Точно - представился посетитель ЯндексБотом от Директа.
    Лезу в логи апача: упс! реферер
    PHP:
    178.154.243.118 - - [10/Dec/2014:17:37:39 +0300"GET /show_news.php?id=1' HTTP/1.1" 200
    тот самый за который мой скриптик отправляет айпи в блэк.
    Пинаю клиента написать в саппорт..- ответ ни о чем.
    Так вот - сижу и ломаю голову. Пытаюсь отловить такую строку в гугле (с адресом домена) - ничего. Сказать, чтоб этот урл выплыл из "подсказок" яши - так тоже нет.
    Считать, что за ботом прячется реальный, живой зловред - как то не хочется, маловероятно.

    В даный момент с этого диапазона разрешены все запросы, во имя сео (=бабла), ...но приятного мало.
    Так я и теряюсь в догадках - что же это было? Откуда кавычка в запросе бота?
     
    6 янв 2015
  2. Хулиган
    Хулиган Команда форума Продвинутый
    Симпатии:
    242
    Вариант чт кто то просто запостил где нибудь(в халяве) активную ссылку на "дырявый сайт" не рассматривается?
     
    6 янв 2015
  3. lisa99
    lisa99 Новичок
    Симпатии:
    6
    ну как же, это первое что пришло в голову.
    да, в халяве сайт есть, но с иным урлом)
    Тут другое. Как только четче сформулировала, написав здесь, так дошло что еще нужно смотреть (включились сео-навыки).
    Бот то директовский, значит он получает данные от скрипта Я.метрики обо всех, кто заходит и их реферер-ы. Тут я пробила урл в моих уведомлениях. Оказывается, в аккурат перед визитером от яши, пару "халявщиков" искали скуль именно по данному запросу
    PHP:
    show_news.php?id=1'
    Ну..следом и ломится бот Директа с тем же запросом (итересный момент) и получает бан.
    ==
    Редактировать/стирать пост уже не стала..пусть что-то новое появится на форуме:)

    п.с. а по поводу сайта была мелкая стычка с биржой шеллов, те в ответ разослали клиентам сайта предупреждение о повторной оплате...Хозяин отбивался от возмущенных звонков ))
    п.п.с. сейчас на сайте еще ловушки стоят, на скачивание дампа бд..
     
    6 янв 2015

Поделиться этой страницей

Загрузка...